Datalek: Zorginstelling verslaafden lekt gegevens
- 09 december 2011
Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. Gegevens van klanten op een server met tientallen websites van zorginstelling De Hoop waren wekenlang vrij toegankelijk.
Hoewel er geen patiëntgegevens van deze instelling voor verslaafden en psychiatrisch patiënten zijn uitgelekt, lagen persoonlijke gegevens op straat. Daarbij ging het om de personalia van ruim 3.300 klanten van De Hoop. De naam, het adres, bankrekeningnummer, e-mailadres, inlognaam en bijbehorend leesbaar wachtwoord waren toegankelijk.
Bovendien staan persoonsgegevens over aanmeldingen voor familiesessies en bijeenkomsten voor pastores in de databank van de zorginstelling. Eveneens was de informatie van ruim 1.500 sollicitanten via de websites toegankelijk. Daarnaast waren er ook nog eens oude sollicitaties en andere gegevens in te zien. Tenslotte bleek het wachtwoord van de beheerder te achterhalen. Omdat de beheerder hetzelfde wachtwoord op verschillende websites gebruikte, was het ook mogelijk om volledige toegang te krijgen tot die andere websites.
De hacker wist de privacygevoelige informatie bloot te leggen door gebruik te maken van een SQL-injectie, waarbij de invoer van gebruikers onvoldoende wordt gecontroleerd. De websites van zorginstelling De Hoop zijn offline gehaald en na controle en een aantal aanpassingen, weer online gezet.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.